¿Qué sabemos de estas tres herramientas que se anuncian como soluciones 
tecnológicas para el manejo del Covid 19? 


Característica 

CoronApp-Colombia 

Medellín Me Cuida 

CaliValle Corona 

¿Funciona en Android? 

Sí. 

N/A. 

Sí. 

¿Funciona en IOS? 

Sí 

N/A 

Sí. 

¿Funciona vía web? 

No. 

Sí. 

Sí. 

¿Qué tipo de licencia 
tiene el software y dónde 
se encuentra el código 
cuando sea de código 
abierto? 

GNU GPL 3.0, no se 
encontró el código 
actualizado. 

No se encontró esta 
información. 

No se encontró esta 
información. 

¿Cuáles son los 
documentos que 
se asocian con la 
aplicación sus fines y 
fmcionalidades, manejo 
de datos personales y 
modelo técnico? 

Es decir, los Términos 
y condiciones de uso y 
políticas de privacidad 
y otros documentos 
técnicos que expliquen el 
modelo en sus diferentes 
niveles (epidemiológico, 
técnico y de privacidad y 
seguridad por diseño). 

Si, Términos y Condiciones 
de Uso. 

No, Políticas de 
privacidad aunque 
los términos incluyen 
algunas disposiciones de 
protección de datos y hay 
una referencia a la política 
de la aplicación de 2017. 

No, Descripción de 
modelo. 

httos://bit.lv/2KI08WH 

No. Términos y 
condiciones de uso 
aunque los de"los 
portales"de ciudad de 
Medellín incluyen un 
numeral 8 expreso para 
"Medellín me cuida". 

No. Políticas de privacidad 
aunque redirigen a las 
políticas generales de 
protección de datos de 
"los portales"de la ciudad. 

No, Descripción de 
modelo. 

htt Ds://bit.l v/3 bt5 ¡0 D 

httDs://bit.lv/2xMsE2B 

No. Términos y 
condiciones de uso no 
existen aunque se pide 
que se acepten en el 
proceso de instalación. 

No. Políticas de privacidad 
aunque redirigen a las 
políticas generales de 
protección de datos "del 
sitio web? de la ciudad. 

No, Descripción de 
modelo. 

httos://bit.lv/3cEJShk 

¿Cómo describe 
la finalidad de la 
aplicación? (en los 
documentos que 
acompañan a la 
aplicación). 

No se encontró esta 
información. 

No se encontró esta 
información. 

No se encontró esta 
información. 

¿Quién aparece 
como responsable? 

(en los documentos 
que acompañan a la 
aplicación). 

La Presidencia de la 
República y el Instituto 
Nacional de Salud (INS). 

Su implementación está 
en gran parte a cargo de la 
Agencia Nacional Digital y 
se comunica con dominio 
de la agencia ("and.gov. 
co"). 

El Municipio de 

Medellín. Es evidente 
que la estrategia vincula 
fuertemente a las 

Empresas Públicas de 
Medellín. 

Alcaldía de Cali, aunque 
también hay menciones a 
la Gobernación del Valle 
del Cauca. 




















Característica 


CoronApp-Colombia 


Medellín Me Cuida 


CaliValle Corona 


¿Cuáles son los 
propósitos para 
el tratamiento de 
datos que describe? 

(en los documentos 
que acompañan a la 
aplicación). 

Responde a "medidas de 
prevención, contención 
y mitigación frente 
al COVID-19"y lista 8 
propósitos. 

No se encontró esta 
información. Las políticas 
de protección de datos 
son para los portales del 
municipio. 

No se encontró esta 
información. Las políticas 
de protección de datos 
son para los sitios web del 
municipio. 

¿Con quiénes indica 
que comparte los 
datos que recogen? 

(en los documentos 
que acompañan a la 
aplicación). 

i 

Uso compartido de la 
información: 

*La información obtenida 
desde CoronApp 
puede ser compartida o 
transferida con Entidades 
Gubernamentales, de 

Salud y demás que se 
requieran para mejorar 
la aplicación, el uso y 
consumo de la misma. 

* Con los fines de salud, 
estadísticos, generación de 
reportes, entre otros que 
se encuentran dentro de 

la finalidad, con Entidades 
Gubernamentales, de 

Salud y demás que se 
requieran para mejorar 
la aplicación, el uso y 
consumo de la misma. 

Seguridad de acceso: 

* La información de 
acceso proporcionada 
no es compartida, 
revendida con terceros, 
ni reutilizada con otros 
fines a los mencionados 
anteriormente. 

Además remite a la ley 
"de conformidad con lo 
establecido en la Ley 1581 
de 2012 de protección de 
datos personales, se podrá 
suministrar información 
a las entidades públicas o 
administrativas que en el 
ejercicio de sus funciones 
legales así lo requieran, o a 
las personas establecidas 
en en el artículo 13 de la 
ley". 

El Municipio de 

Medellín puede 
compartir información 
personal de sus 
servidores, empleados, 
contratistas, proveedores, 
usuarios, ciudadanos 
y demás Titulares, con 
cualquier tercero que, en 
virtud de una relación 
contractual o legal 
que éste tenga con el 
Municipio de Medellín, 
requiera tener acceso a 
dichos datos personales. 

*Adicionalmente, se 
podrán compartir 
los datos personales 
recolectados con terceros 
aliados o contratistas del 
Municipio de Medellín, 
así como con otras 
entidades del orden 
municipal, departamental 
y nacional, con el objeto 
de que le presten 
servicios a éste o en 
nombre de éste, o para 
la ejecución de planes, 
programas, proyectos o 
estrategias conjuntas o, en 
general, cuando tal acceso 
o transferencia se requiera 
por disposición legal. 

... La información 
personal y/o de 
identificación de 
cualquier persona se 
podría compartir sin 
autorización, en los casos 
contemplados en el 

Artículo 10 de la Ley 1581 
de 2012. 

No se encontró esta 
información. 










Característica 


CoronApp-Colombia 


Medellín Me Cuida 


CaliValle Corona 


¿Cuáles datos personales 
pide? 

* Nombre y apellido. 

*Tipo y número de 
documento. 

* Número de celular. 

*Tipo y número de 
documento. 

* Nombre y apellido. 
*Número de contrato con 
EPM. 

* Dirección. 

* Teléfono. 

* Profesión (facultativo). 

* Edad. 

* Email. 

*Tipo de identificación. 

* Número de 
identificación. 

* Fecha Expedición 

* Nombres 
^Apellidos 

* Género 

* Fecha de nacimiento. 

* Correo electrónico. 

* Dirección 

* EPS 

* Ciudad 

* Placa del vehículo. 

¿Qué datos de salud 
piden? 

* Factores de riesgos 
(viajes, contactos) y 
agravantes (enfermedades 
crónicas, fumador, etc.) 

* Reporte de estado de 
salud (fiebre, tos, dificultad 
para respirar, etc.) 

* Factores agravantes 
(hipertensión, diabetes, 
cáncer, ser fumador, etc.) 

* Síntomas (tos, fiebre, 
dificultades para respirar, 
etc.) 

* Rango de edad 

* Factores de riesgo, 

* Enfermedades, 

* Síntomas 

* Posible contactos 
con con otras personas 
infectadas. 

¿Cuántos permisos 
pide la aplicación en el 
proceso de instalación al 
celular? 

16 permisos, de los cuales: 

* Acceso a la localización 
(red y GPS). 

* Bluetooth (3 permisos 
incluyendo ADMIN). (1). 

* Redes WIFI (Acceder y 
cambiar). 

* Ejecutarse sola al inicio 
e impedir que el teléfono 
entre en modo de 
suspensión. 

* Llamar directamente a 
números de teléfono. 

N/A. 

35 permisos, de resaltar: 

* Acceso a dispositivos de 
almacenamiento externos. 

* Control de ubicación fina 
y aproximado. ( 2 ). 

* Control de actividades 
físicas. 

¿Una vez instalada la 
aplicación el celular 
reporta la ubicación 
del equipo? 0 ¿Hay 
otra forma de asociar la 
persona usuaria a una 
ubicación? 

Sí. 

No es por datos del celular 
ya que es un sitio web 
pero tiene un mecanismo 
de asociación de ubicación 
para las personas usuarias. 
( 3 ). 

Sí. 


(1) Hay 3 permisos que se llaman "BLUETOOTH" // BLUETOOTH_PRIVILEGED"y // BLUETOOTH_ADMIN" Los tres son 
para acceder a los datos de Bluetooth pero con diferentes niveles, el último es el más intrusivo porque permite 
a la aplicación acceder a los ajustes Bluetooth, es decir permite configurar el teléfono Bluetooth local y detectar 
dispositivos remotos para conectarse con ellos. 

(2) En Android se puede ubicar el dispositivo vía GPS con una precisión alta o usando señales de Wifi cercanas que 
dan una ubicación aproximada. 

(3) En el caso de Medellín Me Cuida el gran aliado de la Alcaldía de Medellín es EPM. Parte de la información a la 
que puede acceder la Alcaldía es la localización y la dirección asociada con los contratos que reposa en la base de 
datos de EPM. 












Característica 


CoronApp-Colombia 


Medellín Me Cuida 


CaliValle Corona 


¿La aplicación tienen la 
capacidad para hacer 
rastreo de contagio por 
proximidad? ("Contact 
tracing"). (4). 

Sí. 

N/A. 

Sí. 

¿Incluye identificadores 
de tráfico Web? 

2 de Google. 

No. 

No. 

¿Dónde está alojado el 
servidor? 

Amazon Technology EEUU 
Estado de Washington, 

@IP: 34.199.57.23 

EPM Telecomunicaciones 
(Colombia, @IP: 
200.13.232.188) 

hvvc.us 

EEUU Florida, 

@IP: 23.111.150.10 

¿Informa el ciclo de 
vida de los datos que 
recolecta y trata, e indica 
lo que sucede al finalizar 
el ciclo? 

Listar los detalles que se 
encuentren. 

No se encontró esta 
información. 

No se encontró esta 
información. 

No se encontró esta 
información. 

¿Se ofrecen 

explicaciones detalladas 
sobre las disposiciones 
de diseño, incluidas las 
técnicas, que adoptan 
para garantizar la 
privacidad y la seguridad 
de la información? (no 
basta con expresiones 
como "de manera 
segura" 

No se encontró esta 
información. 

No se encontró esta 
información. 

No se encontró esta 
información. 

¿Usan el protocolo 
seguro de transmisión 
cifrada de datos HTTPS)? 

Sí. 

Sí. 

Sí. 


(4) EI"contact tracing" o "rastreo de contactos cercanos" o "rastreo de contagio por proximidad" consiste en 
detectar dispositivos cercanos unos de otros. Se puede hacer a través de la localización GPS, del Bluetooth, y 
de la detección de redes WIFI cercanas. Para los dos últimos, se tiene en cuenta no sólo los identificadores (de 
red o de dispositivo Bluetooth) visibles, sino también la intensidad de las señales. Hay actualmente muchos 
debates en cuanto a su fiabilidad real y a los impactos en la vida privada en función de cómo y dónde se hace el 
almacenamiento de los datos (local, distribuido o centralizado). 














Característica 


CoronApp-Colombia 


Medellín Me Cuida 


CaliValle Corona 


Vulnerabilidades de 
seguridad encontradas 
por Karisma (última 
revisión mediados de 
abril 2020). 

Sí. 

* Una vulnerabilidad de 
autenticación que podía 
comprometer la base de 
datos. 

* Uso de HTTP hasta 
finales de marzo cuando 
¡mplementaron HTTPS (un 
problema por deficiente 
¡mplementadón de 

HTTPS se mantuvo hasta 
mediados de abril). 

Sí. 

*Una vulnerabilidad 
indirecta (pero grave), que 
Karisma reportó y está en 
proceso de evaluación 
y mitigación por los 
responsables. 

Sí. 

*Dos vulnerabilidades 
importantes que Karisma 
reportó y están en proceso 
de evaluación y mitigación 
por los responsables. 

¿Informa que 
realiza auditorías o 
evaluaciones internas 
y externas periódicas a 
la solución y publica los 
informes? 

No se encontró esta 
información. 

No se encontró esta 
información. 

No se encontró esta 
información. 

¿La herramienta 
tiene funcionalidades 
diferentes a las del 
manejo epidemiológico 
del Covid 19?, Si la 
respuesta es sí, ¿cuáles? 

Sí. 

* Desde mediados 
de abril incorpora un 
módulo "Plataformas para 
aprender"con contenidos 
educativos de otras 
entidades del gobierno. 

Sí. 

* Aunque no se da 
información en el sitio 
del formulario, en el de 
la alcaldía con el mismo 
nombre del programa 
Medellín Me Cuida hay 
funcionalidades como 
la de saber si se es 
beneficiario de ayudas por 
la emergencia, denunciar 
violación de la cuarentena 
y solicitudes de permisos 
especiales. 

Los formularios son 
distintos. 

httos://bit.lv/2VJ05BH 

Sí. 

* Al menos dos de los 
módulos, Permisos de 
movilidad y Quiero ayudar 
(voluntariado) no cumplen 
funciones relacionadas 
con las epidemiológicas 
del Covid 19. 


Esta información permite entender mejor qué puede hacer la herramienta que va a usar, entender los 
vacíos que hay y empezar a hacer otras preguntas. En las próximas entregas explicaremos cada una de estas 

herramientas. 

Para conocer los hallazgos y más detalles de los análisis técnicos que venimos realizando, le invitamos a leer 
nuestro artículo; CoronApp, Medellín me Cuida y CaliValle Corona al laboratorio, O cómo se hackea CoronApp 

sin siquiera intentarlo. 

También le invitamos a leer nuestra entrada: Importancia de la discusión sobre el uso de de aplicaciones 

móviles y herramientas para controlar la pandemia 

Nota: Estas publicaciones e investigaciones son parte de la veeduría ciudadana que hacemos como 
organización de la sociedad civil. El Estado debe mejorar la transparencia en el despliegue de esta tecnología 
indicando cuál es su propósito dentro de la estrategia contra el Covid 19, explicando cómo lo hacen, cuáles 
son sus Íímites y cómo protegen nuestros derechos. Adicionalmente, deben comprometer a hacer auditorías 
(internas y externas) para detectar con mayor urgencia las vulnerabilidades y otros problemas de seguridad 
y privacidad digital a las que se exponen las personas que usan estas aplicaciones, estas auditorías deben ser 

públicas y estar al alcance de cualquiera. 
















